Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Was ist sicherer Start?
Sicherer Start ist ein zentrales Windows-Sicherheitsfeature, das Geräte während des Startvorgangs vor Schadsoftware schützt. Wenn sicherer Start aktiviert ist, überprüft die Systemfirmware (UEFI), dass nur vertrauenswürdige, digital signierte Komponenten geladen werden dürfen, wenn das Gerät gestartet wird. Dies trägt dazu bei, Schadsoftware auf Startebene zu verhindern und sicherzustellen, dass Windows mit der Verwendung von bekanntem fehlerfreiem, sicher signiertem Code beginnt.
Der sichere Start basiert auf digitalen Zertifikaten, die in der Systemfirmware gespeichert sind. Diese Zertifikate müssen auf dem neuesten Stand bleiben, um den kontinuierlichen Schutz und die Kompatibilität mit Windows-Sicherheitsupdates sicherzustellen.
Warum sicherer Start status wichtig ist
Während sich die Windows-Sicherheit weiterentwickelt, werden einige Zertifikate für den sicheren Start aktualisiert oder ersetzt, um neue Bedrohungen zu beheben und den Plattformschutz zu stärken. Bei Geräten, bei denen sicherer Start aktiviert ist, aber erforderliche Zertifikatupdates fehlen, können im Laufe der Zeit Kompatibilitäts- oder Sicherheitsprobleme auftreten.
Der Bericht sicherer Start status in Windows Autopatch soll IT-Administratoren dabei helfen, den Status des sicheren Starts ihrer Flotte zu verstehen und Geräte zu identifizieren, die möglicherweise Aufmerksamkeit erfordern, bevor Probleme auftreten.
Übersicht über den status-Bericht für den sicheren Start
Der Bericht sicherer Start status bietet eine Ansicht des sicheren Starts auf Ihren verwalteten Windows Autopatch-Geräten auf Geräteebene. Es hilft bei der Beantwortung von drei wichtigen Fragen:
- Auf welchen Geräten ist der sichere Start aktiviert?
- Welche Geräte, die für den sicheren Start aktiviert sind, sind vollständig auf dem neuesten Stand?
- Welche Geräte mit Aktivierter sicherer Start benötigen Zertifikatupdates?
Der Bericht zeigt für jedes Gerät an, ob der sichere Start aktiviert ist. Für Geräte, für die der sichere Start nicht aktiviert ist, ist keine Aktion erforderlich.
So suchen Sie diesen Bericht:
- Wechseln Sie zum Intune Admin Center.
- Navigieren Sie zu Berichte>Windows Autopatch>Windows-Qualitätsupdates.
- Wählen Sie die Registerkarte Berichte aus.
- Wählen Sie status sicherer Start aus.
Geräte mit aktiviertem sicheren Start
Für Geräte, auf denen sicherer Start aktiviert ist, gibt der Bericht weiter an, ob die Zertifikate für den sicheren Start des Geräts auf dem neuesten Stand sind.
- Wenn der sichere Start auf dem Gerät aktiviert ist und Zertifikate auf dem neuesten Stand sind, ist keine Aktion erforderlich.
- Wenn der sichere Start auf dem Gerät aktiviert ist, zertifikate jedoch veraltet sind, ist eine Aktion erforderlich. Aktualisieren Sie die Zertifikate für den sicheren Start des Geräts auf die Versionen 2023. Erfahren Sie mehr über Anleitungen für IT-Experten und Organisationen für Zertifikatupdates für den sicheren Start.
Geräte ohne aktivierten sicheren Start
Wenn der sichere Start auf einem Gerät nicht aktiviert ist, ist aus Sicht der Zertifikatbereitschaft für den sicheren Start keine Aktion erforderlich. Diese Geräte sind aus Gründen der Sichtbarkeit im Bericht enthalten, aber Zertifikatupdates für den sicheren Start gelten nur für Geräte, auf denen der sichere Start aktiviert ist.
Wie dieser Bericht IT-Administratoren hilft
Der Bericht "Sicherer Start status" hilft Ihnen als IT-Administrator bei folgenden Aufgaben:
- Grundlegendes zur Einführung des sicheren Starts in Ihrer gesamten Umgebung.
- Identifizieren von Geräten mit Aktiviertem sicheren Start, die Zertifikatupdates benötigen
- Planen Sie Firmware- und BIOS-Updatestrategien mit Vertrauen.
- Reduzieren Sie das Risiko, indem Sie proaktiv auf die Bereitschaft für den sicheren Start eingehen.
Durch die Zentralisierung dieser Informationen in Windows Autopatch können Sie die Bereitschaft für den sicheren Start einfacher überwachen. Ergreifen Sie bei Bedarf fundierte, gezielte Maßnahmen, ohne unnötige Korrekturen oder Vermutungen.
Interpretieren von Zertifikaten für den sicheren Start status
Wenn Sie diesen Bericht verwenden, um die Bereitschaft für den sicheren Start in Ihrer Gesamten Umgebung zu bewerten, ist es wichtig zu verstehen, wie das Zertifikat für den sicheren Start status ausgewertet wird und wie die Ergebnisse interpretiert werden.
Wenn Sie die In diesem Bericht gezeigte Bereitschaft des Zertifikats für den sicheren Start mit ergebnissen von benutzerdefinierten Skripts oder Firmwareüberprüfungstools vergleichen, können Sie Unterschiede feststellen. Diese Unterschiede werden häufig erwartet und weisen nicht auf ein Problem mit dem Bericht hin.
Die Bereitschaft des Zertifikats für den sicheren Start wird durch die Firmwarevertrauenskonfiguration eines Geräts bestimmt, nicht nur durch den Gerätehersteller. Windows Autopatch wertet die Anwendbarkeit von Zertifikaten basierend darauf aus, wie das Gerät so konfiguriert ist, dass Startkomponenten als vertrauenswürdig konfiguriert werden, anstatt einen einheitlichen Satz von Zertifikaten für den sicheren Start auf allen Geräten zu erfordern.
Beispielsweise kann ein Gerät, das so konfiguriert ist, dass nur von Microsoft signierte Startkomponenten als auf dem neuesten Stand sind, auch wenn Microsoft-Zertifikate für Nicht-Microsoft-Firmwarekomponenten fehlen. In diesem Szenario gelten Nicht-Microsoft-Firmwarekomponenten nicht für die Startkonfiguration dieses Geräts.
Wenn Sie das Zertifikat für den sicheren Start status überprüfen, stellen Sie sicher, dass Sie die Konfiguration der Firmwarevertrauensstellung des Geräts berücksichtigen. Wenn Sie die Zertifikatpräsenz vergleichen, ohne die aktive Startkonfiguration zu berücksichtigen, können Sie zu falschen Schlussfolgerungen zur Gerätebereitschaft gelangen.
Es ist keine Aktion erforderlich, wenn ein Gerät im Bericht Sicherer Start status als aktuell gemeldet wird.
Auswirkungen der Konfiguration der Vertrauensstellung für den sicheren Start auf zertifikatsbasierte status
Die Konfiguration der Vertrauensstellung für den sicheren Start des Geräts ist wichtig, um zertifikatsbasierte status richtig zu interpretieren.
Der Bericht enthält jetzt eine Vertrauensstellungsspalte für den sicheren Start , um diese Beziehung explizit zu machen.
Zum Beispiel:
- Geräte, die so konfiguriert sind, dass nur von Microsoft signierte Komponenten als vertrauenswürdig konfiguriert sind, benötigen möglicherweise keine Nicht-Microsoft-Firmwarekomponenten.
- Geräte, die so konfiguriert sind, dass sie sowohl Microsoft- als auch Nicht-Microsoft-Firmwarekomponenten vertrauen, benötigen einen breiteren Satz von Zertifikaten.
Beim Auswerten von zertifikatsbasierten status:
- Überprüfen Sie die Vertrauenskonfiguration des Geräts.
- Verwenden Sie das Zertifikat status Details (durch Auswählen des Werts), um zu verstehen, welche Zertifikate anwendbar sind und welche fehlen.
Interpretieren des Konfidenzniveaus
Die Spalte Konfidenzstufe enthält Anleitungen, die auf der Microsoft-Analyse ähnlicher Geräte und Firmwarekonfigurationen basieren. Es soll Ihnen helfen, sicherere Rolloutentscheidungen für Zertifikatupdates für den sicheren Start zu treffen. Berücksichtigen Sie dies insbesondere bei der Planung einer mehrstufigen Bereitstellung auf unterschiedlicher Hardware.
Was der Konfidenzgradwert darstellt
- Eine Konfidenzklassifizierung, die auf beobachteten Ergebnissen für ähnliche Geräte und Firmwarekonfigurationen basiert.
- Eine empfohlene Aktion: Sie können einige Zertifikatupdates für den sicheren Start für ein Gerät entweder automatisch bereitstellen oder manuell bereitstellen.
Welcher Konfidenzebenenwert steht nicht?
- Es ersetzt nichtdie zertifikatbasierte status. Ein Gerät kann unabhängig von der Konfidenzklassifizierung auf dem neuesten Stand sein.
- Dies bedeutet nicht unbedingt , dass Eine Aktion erforderlich ist. In einigen Fällen ist das Konfidenzniveau informativ (z. B. hohe Zuverlässigkeit bei zulässiger automatischer Bereitstellung).
Wichtig
Ein Gerät kann als aktuell gemeldet werden, während keine Daten beobachtet angezeigt werden. Dies spiegelt die eingeschränkte Datenabdeckung für ähnliche Geräte wider, kein Problem mit dem Gerät oder seinem aktuellen Zertifikatstatus.
Automatische und manuelle Bereitstellung
Für die Bereitstellung des Zertifikats für den automatischen sicheren Start müssen beide Bedingungen erfüllt sein:
- Das Gerät wird als hochvertraut klassifiziert.
- Die Bereitstellungsrichtlinie "Hohe Zuverlässigkeit " ist zulässig (die automatische Bereitstellung wird nicht blockiert).
Wenn die automatische Bereitstellung durch eine Richtlinie blockiert wird, erfordern Geräte eine manuelle Bereitstellung, auch wenn sie hohe Zuverlässigkeit aufweisen.
Erfahren Sie mehr über Microsoft Intune Methode des sicheren Starts für Windows-Geräte mit IT-verwalteten Updates.
Empfohlene Administratoraktion nach Konfidenzstufe
| Konfidenzniveau | Beschreibung | Empfohlene Administratoraktion |
|---|---|---|
Hohe Zuverlässigkeit (und ConfigureHighConfidenceOptOut == 0) |
Die beobachteten Daten für diese Gerätegruppe deuten darauf hin, dass die Firmware mithilfe der neuen Zertifikate für den sicheren Start erfolgreich aktualisiert werden kann. | Es ist keine Aktion erforderlich. Geräte erhalten automatisch Updates des Zertifikats für den sicheren Start über Windows Update. |
Hohe Zuverlässigkeit (und ConfigureHighConfidenceOptOut == 1) |
Die beobachteten Daten für diese Gerätegruppe deuten darauf hin, dass die Firmware mithilfe der neuen Zertifikate für den sicheren Start erfolgreich aktualisiert werden kann. Die automatische Bereitstellung ist jedoch durch die Richtlinie deaktiviert. | Stellen Sie Zertifikatupdates manuell bereit, wenn Sie bereit sind. |
| Unter Beobachtung : Weitere Daten erforderlich | Geräte in dieser Gruppe sind nicht blockiert, aber es gibt noch nicht genügend Daten, um sie als hochzuvertraulich zu klassifizieren. Zertifikatupdates für den sicheren Start werden möglicherweise zurückgestellt, bis genügend Daten verfügbar sind. | Sie können Zertifikatupdates auf kontrollierte Weise testen und bereitstellen, um die Kompatibilität zu überprüfen. |
| Keine Daten beobachtet – Aktion erforderlich | Microsoft hat diesen Gerätetyp in den Updatedaten für den sicheren Start nicht beobachtet. Diese Klassifizierung wird nur angezeigt, wenn das Gerät nicht in der Datenbank mit hoher Zuverlässigkeit gefunden wird. Daher können automatische Zertifikatupdates für dieses Gerät nicht ausgewertet werden, und es ist wahrscheinlich eine Administratoraktion erforderlich. | Testen Sie Zertifikatupdates sorgfältig, und planen Sie einen Rollout, bevor Sie Updates umfassend bereitstellen. |
| Vorübergehend angehalten | Geräte in dieser Gruppe sind von einem bekannten Problem betroffen. Um das Risiko zu verringern, werden Zertifikatupdates für den sicheren Start vorübergehend angehalten, während Microsoft und Partner auf eine unterstützte Lösung hinarbeiten. Dies erfordert möglicherweise ein Firmwareupdate. | Stellen Sie keine Zertifikatupdates bereit. Suchen Sie nach OEM-Firmwareupdates, und überwachen Sie die Microsoft-Anleitung. Weitere Informationen finden Sie unter Ereignis-ID 1802 . |
| Nicht unterstützt – Bekannte Einschränkung | Geräte in dieser Gruppe unterstützen den Updatepfad des automatisierten Zertifikats für den sicheren Start aufgrund von Hardware- oder Firmwarebeschränkungen nicht. Für diese Konfiguration ist derzeit keine unterstützte automatische Auflösung verfügbar. | Schließen Sie diese Geräte aus der automatisierten Bereitstellung aus, und dokumentieren Sie sie als Ausnahme. |
Hinweis
Die Zuverlässigkeitsstufe spiegelt die Microsoft-Datenabdeckung für ähnliche Geräte wider. Wenn Geräte keine hohe Zuverlässigkeit aufweisen, bedeutet dies nicht, dass das Gerät veraltet ist.
Berichtsspalten für den sicheren Start status
Der Bericht sicherer Start status enthält eine Reihe von Standardspalten, die für alle Benutzer angezeigt werden. Sie können der Ansicht auch optionale Spalten hinzufügen, um tiefere Einblicke in Hardware und Firmware zu erhalten.
Standardspalten
Diese Spalten werden standardmäßig angezeigt und sollen IT-Administratoren dabei helfen, die Abdeckung für den sicheren Start und die Zertifikatbereitschaft auf ihren Geräten schnell zu verstehen.
| Name der Spalte | Beschreibung |
|---|---|
| Gerätename | Der Name des Geräts |
| BS-Version | Die windows-Betriebssystemversion, die auf dem Gerät ausgeführt wird |
| Microsoft Entra Geräte-ID | Die Microsoft Entra Geräte-ID, die dem Gerät zugeordnet ist |
| Secure Boot enabled | Gibt an, ob der sichere Start auf dem Gerät aktiviert ist. |
| Gerätemodell | Das kommerzielle Modell des Geräts |
| Zertifikats status | Eine aggregierte status, die angibt, ob die Zertifikate für den sicheren Start auf dem Gerät aktuell, Nicht aktuell oder Nicht zutreffend sind. Sie können diesen Wert auswählen, um detaillierte zertifikatbezogene status für das Gerät anzuzeigen. |
| Konfiguration der Vertrauensstellung für den sicheren Start | Gibt an, wie die Vertrauensstellung für den sicheren Start auf dem Gerät konfiguriert ist: Nur Microsoft oder Microsoft und Nicht-Microsoft. Diese Konfiguration bestimmt, welche Zertifikate anwendbar sind. |
| Konfidenzniveau | Gibt die Zuverlässigkeit von Microsoft an, dass Zertifikatupdates für den sicheren Start sicher angewendet werden können. Dieser Wert basiert auf beobachteten Daten von ähnlichen Geräten. Es hilft bei Der Entscheidungsfindung bei der Bereitstellung und kann angeben, ob eine automatische oder manuelle Bereitstellung erforderlich ist. |
| Datum der letzten Meldung | Datum und Uhrzeit des letzten Empfangens von Daten für den sicheren Start vom Gerät. Hilft bei der Identifizierung von Berichtslatenz oder veralteten Daten. |
| Warnungen | Zeigt dem Gerät zugeordnete Warnungen an, z. B. fehlende Diagnosedaten oder Geräte, die eine Aktion erfordern. |
Optionale Spalten
Sie können dem Bericht optionale Spalten hinzufügen, um detailliertere Hardware- und Firmwarekontexte anzuzeigen. Sie sind hilfreich für die Problembehandlung, Hardwarekorrelation und erweiterte Analyse, sind aber nicht erforderlich, um den sicheren Start status zu verstehen.
| Name der Spalte | Beschreibung |
|---|---|
| Gerätehersteller | Der vom OEM gemeldete Gerätehersteller |
| Hersteller von Systemplatinen | Der Hersteller der Systemplatine (Motherboard) des Geräts |
| Modellfamilie | Die Produktfamilie oder Produktlinie des Geräts |
| Systemboardmodell | Das spezifische Systemboardmodell, das im Gerät verwendet wird |
| Systemboardversion | Die Version oder Revision des Systemboards |
| Geräte-SKU | Die OEM-SKU, die eine bestimmte Hardwarekonfiguration identifiziert |
| Firmwarehersteller | Der Hersteller der Gerätefirmware (BIOS/UEFI) |
| Firmwareversion | Die aktuell installierte Firmwareversion (BIOS/UEFI) |
Datenfrischheit, Berichtslatenz und Diagnosedatenanforderungen
Der Bericht "Secure Boot status" basiert auf Ereignissen im Zusammenhang mit sicherem Start. Geräte melden diese Ereignisse nach dem Start. Daher werden Änderungen am Zustand des sicheren Starts oder des Zertifikats status möglicherweise nicht sofort im Bericht angezeigt.
Nachdem Zertifikate für den sicheren Start aktualisiert und das Gerät neu gestartet wurde, kann es bis zu 12 Stunden dauern, bis die aktualisierten status im Bericht "Sicherer Start status" verarbeitet und widergespiegelt wurden.
Wenn ein Gerät kurz nach der Wartung Nicht aktuell, Nicht zutreffend oder Unbekannt angezeigt wird, deutet dies nicht auf einen Fehler hin. Lassen Sie dem Gerät Zeit, die Berichterstellung abzuschließen, bevor Sie zusätzliche Maßnahmen ergreifen.
Der Bericht sicherer Start status hängt auch von der erfolgreichen Berichterstellung und Verarbeitung von Diagnosedaten für den sicheren Start ab. Wenn ein Gerät nicht für die Freigabe der erforderlichen (einfachen) Windows-Diagnosedaten konfiguriert ist, werden Ereignisse für den sicheren Start möglicherweise nicht gemeldet. Daher wird das Gerät im Bericht möglicherweise als Unbekannt oder Nicht zutreffend angezeigt. In diesem Fall weist der Bericht nicht auf einen Fehler oder eine Fehlkonfiguration hin. Es gibt an, dass keine Diagnosedaten für den sicheren Start für das Gerät vorhanden sind.
Darüber hinaus werden Geräte, die über einen längeren Zeitraum keine Diagnosedaten gemeldet haben, möglicherweise auch als Unbekannt angezeigt. Insbesondere wenn ein Gerät seit mehr als 28 Tagen inaktiv ist, stehen möglicherweise keine aktuellen Diagnosedaten für den sicheren Start mehr zur Verfügung. Daher kann das Gerät im Bericht auch dann als Unbekannt angezeigt werden, wenn keine Konfigurationsprobleme vorliegen.
Um eine genaue Berichterstellung sicherzustellen, überprüfen Sie, ob Geräte aktiv sind und regelmäßig Diagnosedaten für den sicheren Start melden. Überprüfen Sie, ob der Mandant den Datenprozessordienst für Windows (DPSW) aktiviert hat.
Warnungen im Bericht "Sicherer Start"
Die Spalte Warnungen bietet Einblick in Probleme, die sich auf einzelne Geräte auswirken.
- Auf Geräten mit fehlenden Diagnosedaten wird möglicherweise eine DeviceDiagnosticDataNotReceived-Warnung angezeigt.
- Geräte, die nicht auf dem neuesten Stand sind, zeigen möglicherweise Warnungen an, die auf die erforderliche Aktion hinweisen.
Verwenden Sie Warnungen für Folgendes:
- Schnelles Identifizieren betroffener Geräte.
- Priorisieren von Untersuchungen und Korrekturen.
Zusätzliche Berichtsanforderungen
Geplante Aufgabe "Secure-Boot-Update"
Die geplante Aufgabe "Secure-Boot-Update" ist erforderlich, damit Windows Zertifikatupdates für den sicheren Start anwenden kann.
Wenn diese Aufgabe deaktiviert oder gelöscht wird:
- Zertifikatupdates für den sicheren Start werden nicht fortgesetzt.
- Geräte melden möglicherweise weiterhin veraltete oder unvollständige status.
Erfahren Sie mehr über die Problembehandlung für den geplanten Task für den sicheren Start.
DisableOneSettingsDownloads-Richtlinie
Aktivieren Sie den CSP DisableOneSettingsDownloads nicht.
Windows stellt in regelmäßigen Abständen eine Verbindung mit dem OneSettings-Dienst her, um konfigurationsdaten abzurufen, die für die Berichterstellung erforderlich sind. Wenn diese Richtlinie aktiviert ist, werden erforderliche Berichtsdaten möglicherweise nicht heruntergeladen. Daher können geräte status unvollständig oder veraltet erscheinen.
Weitere Informationen zu dieser Richtlinie finden Sie in der Dokumentation zum Richtlinien-CSP-System.
Neuerungen im Bericht zum sicheren Start status
Der Bericht "Sicherer Start status" wurde seit dem Start verbessert. Verbesserungen bieten zusätzlichen Einblick in die Gerätekonfiguration, die Updatebereitschaft und die Berichtsgenauigkeit.
Die folgenden Verbesserungen sind jetzt verfügbar:
- Die Werte von Zertifikaten status sind jetzt interaktiv und ermöglichen detaillierte Erkenntnisse pro Zertifikat.
- Eine neue Vertrauensstellungsspalte für den sicheren Start zeigt an, welche Zertifikate für jedes Gerät anwendbar sind.
- Eine neue Spalte "Konfidenzstufe " enthält Anleitungen, die auf Microsoft-Daten zum Erfolgreichen Update für ähnliche Geräte basieren.
- Eine neue Spalte Datum der letzten Meldung zeigt an, wann das Gerät zuletzt Diagnosedaten gemeldet hat.
- In einer neuen Spalte Warnungen werden Probleme angezeigt, die sich auf jedes Gerät direkt im Bericht auswirken.
- Berichtsspalten verfügen jetzt über verbesserte Sortierung und Filterung.
Der Bericht zeigt für jedes Gerät an, ob der sichere Start aktiviert ist. Für Geräte, für die der sichere Start nicht aktiviert ist, ist keine Aktion erforderlich.